【正文】 路由信息，設(shè)置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或外網(wǎng)電信下一跳地址 —— ip routestatic (如圖 2) 39 執(zhí)行 save命令保存退出后就可以在企業(yè)外網(wǎng)出口指定 IP時實現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)以及安全保護(hù)功能 了。該 40 功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。在分組過濾 (網(wǎng)絡(luò)層 )一級，過濾掉所有的源路由分組和假冒的IP 源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或 /和入的協(xié)議和有害數(shù)據(jù)包如 nuke 包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān) (應(yīng)用層 )一級，能利用 FTP、 SMTP 等各種網(wǎng)關(guān)，控制和監(jiān)測 Inter 提供的所用通用服務(wù)。有些防火墻集成了防病毒功能，通常被稱之為“病毒防 火墻”，當(dāng)然目前主要還是在個 41 人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。 與基于 ASIC 的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。防火墻技術(shù)只有不斷向主動型和智能型等方向發(fā)展，才能更好的滿足人們對防火墻技術(shù)日益增長的需求。 44 參考文獻(xiàn) [1] 艾軍 .防火墻體系結(jié)構(gòu)及功能分析 [J].電腦知識與技術(shù) .20xx， (s):79 一 82. [2] 高峰 .許南山 .防火墻包過濾規(guī)則問題的研究 [M].計算機(jī)應(yīng)用 .20xx， 23(6):311 一 312. [3] 孟濤 、 楊磊 .防火墻和安全審計 [M].計算機(jī)安全 .20xx， (4):17 一 18. [4] 鄭林 .防火墻原理入門 [Z]. E 企業(yè) .20xx. [5] 魏利華 .防火墻技術(shù)及其性能研究 .能源研究與信息 .20xx， 20(l):57 一 62 [6] 李劍，劉美華，曹元大 .分布式防火墻系統(tǒng) .安全與環(huán)境學(xué)報 .20xx， 2(l):59 一 61 [7] 王衛(wèi)平，陳文惠，朱衛(wèi)未 .防火墻技術(shù)分析 .信息安全與通信保密 .20xx， (8):24 一 27 [8] 付歌，楊明福 .一個快速的二維數(shù)據(jù)包分類 算法 .計算機(jī)工程 .20xx， 30(6):76 一 78 [9] 付歌，楊明福，王興軍 .基于空間分解的數(shù)據(jù)包分類技術(shù) .計算機(jī)工程與應(yīng)用 .20xx(8):63一 65 [10] 〕韓曉非，王學(xué)光，楊明福 .位并行數(shù)據(jù)包分類算法研究 .華東理工大學(xué)學(xué)報 .20xx，29(5):504 一 508 [11] 韓曉非，楊明福，王學(xué)光 .基于元組空間的位并行包分類算法 .計算機(jī)工程與應(yīng)用 .20xx，(29):188 一 192 [12] 馮東雷，張勇，白英彩 .一種高性能包分類漸增式更新算法 .計算機(jī)研究與發(fā)展 .20xx，40(3):387 一 392 45 致謝 從論文選題到搜集資料，從寫稿到反復(fù)修改，期間經(jīng)歷了喜悅、聒噪、痛苦和彷徨，在寫作論文的過程中心情是如此復(fù)雜。祝恩師們身體健康，家庭幸福！感謝論文中引文的原作者，他們都是 計算機(jī) 界的名師大家，大師風(fēng)范，高山仰止。那種感覺就宛如在一場盛大的頒獎晚會上，我在晚會現(xiàn)場看著其他人一個接著一個上臺領(lǐng)獎，自己卻始終未能被念到名字，經(jīng)過了很長很長的時間后，終于有位嘉賓高喊我的大名，這時我忘記了先前漫長的無聊的等待時間，欣喜萬分地走向舞臺，然后迫不及待地開始抒發(fā)自己的心情，發(fā)表自己的感想。正是有了他們的悉心幫助和支持，才使我的畢業(yè)論文工作順利完成，在此向 安徽水利水電職業(yè)技術(shù)學(xué)院 ， 電子信息工程 系計算機(jī)網(wǎng)絡(luò)系統(tǒng) 的全體老師表示由衷的謝意。 (2)強(qiáng)大的審計功能和自動日志分析功能。但是純硬件的 ASIC 防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。為了滿足這種需要，一些防火墻制造商開發(fā)了基于 ASIC 的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。 這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層，從這個概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。用戶身份驗證功能越強(qiáng)，它的安全級別越高，但它給網(wǎng)絡(luò)通信 帶來的負(fù)面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。 第一步：通過 CONSOLE 接口以及本機(jī)的超級終端連接 F100 防火墻，執(zhí)行 system 命令進(jìn)入配置模式。 軟件的配置與實施 以 H3C 的 F100 防火墻為例 ， 當(dāng)企業(yè)外網(wǎng) IP 地址固定并通過光纖連接的具體配置。默認(rèn)情況下防火墻會自動建立 trust 信任區(qū)， untrust 非信任區(qū)， DMZ 堡壘主機(jī)區(qū)以及LOCAL 本地區(qū)域。 如果防火墻上有 WAN 接口，那么直接將 WAN 接口連接外網(wǎng)即可，如果所有接口都標(biāo)記為 LAN 接口，那么按照常規(guī)標(biāo)準(zhǔn)選擇最后一個 LAN 接口作為外網(wǎng)連接端口。還要看投資經(jīng)費、投資大小、技術(shù)人員的水平和時間等問題。為了入侵這種類型的體系結(jié)構(gòu)，入侵者必須穿透兩個屏蔽路由器。 34 子網(wǎng)屏蔽防火墻 在主機(jī)屏蔽體系中，用戶的內(nèi)部網(wǎng)絡(luò)對堡壘主機(jī)沒有任何防御措施，如果黑客成功入侵到主機(jī)屏蔽體系結(jié)構(gòu)中的堡壘主機(jī)，那就毫無阻擋的進(jìn)入了內(nèi)部網(wǎng)絡(luò)。總之保護(hù)路由器比保護(hù)主機(jī)更容易實現(xiàn)，因為路由器提供非常有限的服務(wù)，漏洞要比主機(jī)少得多，所以主機(jī)屏蔽防火墻體系結(jié)構(gòu)能提供更好的安全性和可用性。 主機(jī)屏蔽防火墻 實際上，我們常常把屏蔽路由器作為保護(hù)網(wǎng)絡(luò)的第一道防線。 主機(jī)屏蔽防火墻 32 主機(jī)屏蔽防火墻比雙宿主機(jī)防火墻更安全。然后防火墻運行代理軟件控制數(shù)據(jù)包從一個網(wǎng)絡(luò)流向另一個網(wǎng)絡(luò)，這樣內(nèi)部網(wǎng)絡(luò)中的計算機(jī)就可以訪問外部網(wǎng)絡(luò)。另外，如果應(yīng)用程序允許，網(wǎng)絡(luò)還可以共享數(shù)據(jù)。 雙宿主主機(jī)防火墻 30 多宿主主機(jī)這個詞是用來描述配有多個 網(wǎng)卡 的主機(jī)，每個網(wǎng)卡都和網(wǎng) 絡(luò)相連接。 圖 流過濾示意圖 29 在這種機(jī)制下，從防火墻外部看，仍然是包過濾的形態(tài)，工作在鏈路層或 IP 層， 在規(guī)則允許下，兩端可以直接訪問，但是任何一個被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個完全獨立的 TCP 會話，數(shù)據(jù)以“流”的方式從一個會話流向另一個會話。 流過濾技術(shù) [17]的關(guān)鍵在于其架構(gòu)中的專用 TCP/IP 協(xié)議棧 :這個協(xié)議棧是一個標(biāo)準(zhǔn)的 TCP 協(xié)議的實現(xiàn)，依據(jù) TCP 協(xié)議的定義對出入防火墻的數(shù)據(jù)包進(jìn)行了，完整的重組，重組后的數(shù)據(jù)流交給應(yīng)用層過濾邏輯進(jìn)行過濾，從而可以有效地識別并攔截應(yīng)用層的攻擊企圖。如果數(shù)據(jù)是 Mail 類型，則檢查郵件的附件。定向到 TCP/IP 堆棧的數(shù)據(jù)流，首先轉(zhuǎn)換成內(nèi)容數(shù)據(jù)流。為了突破內(nèi)容處理障礙，達(dá)到實時地分析網(wǎng)絡(luò)內(nèi)容和行為，需要重點在加速上采取有效的辦法。 簡單的數(shù)據(jù)包內(nèi)容過濾對當(dāng)前正在通過的單一數(shù)據(jù)包的有效載荷進(jìn)行掃描檢測，但是對于應(yīng)用防御的要求而言，這是遠(yuǎn)遠(yuǎn)不夠的。防火墻必須深入檢查數(shù)據(jù)包的內(nèi)部來確認(rèn)出惡意行為并阻止它們。而且，由于狀態(tài)表是動態(tài)的，因而可以有選擇地、動態(tài)地開通 1024 號以上的端口，使安全性得到進(jìn) 一步地提高。這樣 ，當(dāng)一個新的數(shù)據(jù)包到達(dá)，如果屬于已經(jīng)建立的連接，則檢查狀態(tài)表，參考數(shù)據(jù)流上下文決定當(dāng)前數(shù)據(jù)包通過與否 。實際上，在深度包檢測技術(shù)中己經(jīng)體現(xiàn)了兩種技術(shù)的融合趨勢。即在包檢測中考慮前后數(shù)據(jù)包之間的關(guān)系，充分利用包頭信息中能體現(xiàn)此關(guān)系的字段，如 IP 首部的標(biāo)識字段和片偏移字段、 TCP 首部的發(fā)送及確認(rèn)序號、滑動窗口的大小、狀態(tài)標(biāo)識等，動態(tài)執(zhí)行數(shù)據(jù)包過濾。 (3)只對當(dāng)前正在通過的單一數(shù)據(jù)包進(jìn)行檢測，而沒有考慮前后數(shù)據(jù)包之間的聯(lián)系 。 。這種技術(shù)實現(xiàn)簡單，處理速度快，對應(yīng)用透明，但是它存在的問題也很多，主要表現(xiàn)有 : 。IP 數(shù)據(jù)報頭部信息主要是源 /目的主機(jī)的 IP 地址 。IP 傳給網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱作 IP 數(shù)據(jù)報(IP Datagram)；通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀 (Frame)。 由于其主要是對數(shù)據(jù)包的過濾操作，所以數(shù)據(jù)包結(jié)構(gòu)是包過濾技術(shù)的基礎(chǔ)。 所謂包過濾，就是對流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包逐個檢查，并 22 依據(jù)所制定的安全策略來決定數(shù)據(jù)包是通過還是不通過。同時由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)安全問題越來越突出。屏蔽主機(jī)防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過濾路由器或防火墻與 Inter 相連，同時一個堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾器路由器或防火墻上過濾規(guī)則的設(shè)置，使堡壘機(jī)成為 Inter上其他節(jié)點所能到達(dá)的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。同時 也常結(jié)合入過濾器的功能。它是針對數(shù)據(jù)包過濾 [10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。比如訪問 WEB 站點的 HTTP，用于文件傳輸?shù)?FTP，用于E 一 MAIL 的 SMTP/POP3 等等。代理技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實現(xiàn)防火墻功能。如果公司的安全策略允許內(nèi)部員工訪問網(wǎng)站，包過濾防火墻可能設(shè)置允所有 80 端口的連接通過，這時，意識到這一漏洞的外部人員可以在沒有被認(rèn)證的情況下進(jìn)入私有網(wǎng)絡(luò)。包過濾防火墻是速度最快的防火墻，這是因為它處于網(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實現(xiàn)， 對用戶來說都是透明的。包過濾防火墻工作在網(wǎng)絡(luò)層， IP 包的包頭中包含源、目的 IP 地址，封裝協(xié)議類型 (TCP， UDP， ICMP或 IP Tunnel)， TCP/UDP 端口號， ICMP 消息類型， TCP 包頭中的ACK 等等。內(nèi)置特殊站點數(shù)據(jù)庫，用戶可選擇是否封禁色情、反動和暴力等特殊站點。 。 虛擬專網(wǎng)功能 指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。網(wǎng)絡(luò)蠕蟲病毒分為 2 類，一種是面向企業(yè)用戶和局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動進(jìn)行攻擊，可以對整個互聯(lián)網(wǎng)造成癱瘓性的后果，以“紅色代碼”，“尼姆達(dá)”，以及最新的“ sql 蠕蟲王”為代表。防火墻設(shè)備可檢測包括針對 Unicode、 ASP 源碼泄漏、 PHF、 NPH、 等已知上百種的有安全隱患的CGI/IIS 進(jìn)行的探測和攻擊方式。 CGI/IIS 服務(wù)器入侵?，F(xiàn)在的防火墻設(shè)備通常都可檢測 Synflod、Land、 Ping of Death、 TearDrop、 ICMP flood 和 UDPflod 等多種 17 DOS/DDOS 攻擊。 。是否支持 FTP、 Web 服務(wù) 。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服 務(wù)進(jìn)行幾乎透明的訪問，同時阻止了外部未授權(quán)訪問者對專用網(wǎng)絡(luò)的非法訪問 。代理指防火墻內(nèi)置用戶認(rèn)證數(shù)據(jù)庫 。并將有限的 IP 地址動態(tài)或靜態(tài)的與內(nèi)部 IP 地址對應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本?？筛鶕?jù)地址簿進(jìn)行設(shè)置規(guī)則。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進(jìn)行訪問控制。三是傳統(tǒng)的防火墻無法區(qū)分識別善意和惡意的行為。主要有以下三個原因 : 一是傳統(tǒng)防火墻的計算能力的限制。 [5] 但傳統(tǒng)的防火墻并沒有解決目前網(wǎng)絡(luò)中主要的安全問題。 第 二代、第三代 防火墻 1989 年，貝爾實驗室的 Dave Presotto 和 Howard Trickey 推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻 ——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。在邏輯上，防火墻是一個分離器，一個